网上支付的安全使用访问控制技术培训课件

项目二网上支付的安全使用项目二网上支付的安全使用1讨论：使用网上支付时你最担心哪些问题呢？请给丁汇100元乙甲请给丁汇100元请给丙汇100元丙请给丙汇100元讨论：请给丁汇100元乙甲请给丁汇100元请给丙汇100元丙2主要内容网上支付安全风险与安全需求网上支付安全协议三、网上支付安全技术二、网上支付的安全风险控制措施一、四、主要内容网上支付安全风险与安全需求3一、网上支付安全风险与安全需求1、网上支付的安全风险密码管理问题黑客攻击大部分公司或个人密码设置过于简单，甚至在所有网站上使用的都是同一个密码。建议密码不要设置为姓名、生日、电话号码等简单密码结合大小写字母、数字符号等共同组成密码，且位数尽量大于9一、网上支付安全风险与安全需求1、网上支付的安全风险密码管理4一、网上支付安全风险与安全需求1、网上支付的安全风险密码管理问题黑客攻击钓鱼网站

建立假网站诱骗客户输入账号密码发送钓鱼邮件，引诱客户访问键盘记录

通过木马植入监视用户操作，进而窃取密码嵌入浏览器执行

屏幕“录像”

窃取数字证书

伪装窗口

动态改变用户浏览页面内容，使用户登录到没有安全控件保护的页面

记录用户鼠标和键盘操作记录

通过木马记录客户保存证书流程，复制证书文件，非法使用

通过木马记录客户保存证书流程，复制证书文件，非法使用一、网上支付安全风险与安全需求1、网上支付的安全风险密码管理510万余基金半夜被转移

"您的网上银行账户**基金已转账……"24日凌晨两点多，马先生和妻子被不断发来的这类短信吵醒。半夜了电脑已关，自家人没操作电脑，密码只有自己知道，咋会有网上银行的基金被转账的怪事?夫妻俩睡意全无，赶紧上网查看，果然发现多笔基金被分次转到他人账户。张先生的开户行在小寨十字，24日早上，马先生急忙到开户行所在地小寨路派出所报案，被告知要到居住地所在派出所报案。马先生又来到东关南街派出所，被告知还得到开户行所在地报案。张先生担心被转账的账户将钱取走，就先到银行处理此事。记者赶到银行后，工作人员将张先生的网银交易记录打出来，确实发现：23日，有5000元现金在"上海环讯电子商务"消费，另有基金被转出的记录。10万余基金半夜被转移6点击陌生网址泄露网银信息

随后，该银行办公室、个人金融部的两名工作人员来到小寨十字营业点了解情况。24日下午，银行进一步调查发现：马先生的妻子刘女士在23日下午上网聊天时，有一个陌生QQ号发给她一个网址，她点击进入，看到是一个开户行所在银行的网站，上面宣称可销售电话卡，只要汇入指定账户一元，再输入个人的网上银行账号、密码，验证身份后，就能做电话卡的销售代理。刘女士按照提示一步步操作，没想到就这样泄露了个人的网银信息。直到此时，马先生和妻子才得知自己因链接陌生网址泄露网银信息，二人追悔莫及。点击陌生网址泄露网银信息7一、网上支付安全风险与安全需求2、网上支付的信用风险由于网络虚拟性，支付双方难以客观判断对方信用等级，容易产生信用怀疑，阻碍网上支付进行。西方国家信用制度已经很健全，我国仍处于起步阶段，信用环境仍需加强一、网上支付安全风险与安全需求2、网上支付的信用风险由于网络8一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力问题法律责任分担问题黑客的法律约束对客户和银行，法律效力一般不会出现问题，但是对于电子支票和电子现金，因为其与传统法律有一定抵触，效力存在一定争议。一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力9一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力问题法律责任分担问题未经授权使用的银行卡支付所造成的损失由谁承担？消费者？商家？还是银行？黑客的法律约束一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力10一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力问题法律责任分担问题法律的约束力对黑客来讲抵不过巨大利益的诱惑，法律的惩罚力度和技术的进步都是比不可少的。黑客的法律约束一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力11一、网上支付安全风险与安全需求网上支付的安全需求网络上资金数据流的保密性相关网络支付结算数据的完整性网络上资金结算双方身份的认定支付结算行为不可抵赖性支付系统运行稳定快捷一、网上支付安全风险与安全需求网上网络上资金数据流的保密12

二、网上支付安全风险控制措施√保障支付结算信息的机密性、完整性、不可否认性不可拒绝性和访问控制性√能够经常测试安全状态√能够对可能的风险作出基本评估√系统的的安全被破坏后能够尽快恢复工作√应用相应法律法规保护安全利益安全风险控制目标二、网上支付安全风险控制措施√保障支付结算信息的13

二、网上支付安全风险控制措施安全风险控制原则（1）预防为主原则。（2）根据网上支付结算的安全需要和目标来制定安全策略原则。（3）多人负责原则。（4）任期有限原则。（5）职责分离原则。二、网上支付安全风险控制措施安全风险控制原则14

二、网上支付安全风险控制措施安全风险控制措施加快认证中心建设，统一数字证书加强网上支付安全信用体系建设完善相应的法律法规明确监管制定，加强金融监管客户加强自我安全保护1、核对网址，保管好密码和数字证书。2、对异常动态提高警惕3、使用安全正版的防毒软件和防火墙，并及时更新。4、限制无关人员靠近个人计算机，使用完网银后及时推出并清理上网痕迹。5、核实交易方身份，保留交易记录二、网上支付安全风险控制措施安全风险控制措施加快15

三、网上支付安全相关技术主要知识点了解并掌握访问控制技术的原理与应用了解并掌握数据机密技术的原理与应用了解并掌握数据抵赖技术的原理与应用了解并掌握身份认证技术的原理与应用熟练使用网上支付系统安全技术工具一二三四五三、网上支付安全相关技术主要知识点了解了解了16

三、网上支付安全相关技术一访问控制技术与应用1.访问控制概述网络支付平台系统的构成客户机银行专网Intranet电子商务服务器Internet支付网关三、网上支付安全相关技术一访问控制技术与应用1.17访问控制是在保障授权用户获取所需资源的同时，拒绝非授权用户访问的机制。是在身份认证的基础上，根据身份的合法性对提出的资源访问请求加以控制在用户身份已得到认证的前提下，限制主体对访问客体的访问权限，访问控制目的是“你能做什么，你有什么样的权限”。身份认证——防止非法用户进入系统；访问控制——防止合法用户对系统资源的非法使用

三、网上支付安全相关技术一访问控制技术与应用1.访问控制概述访问控制是在保障授权用户获取所需资源的同时，拒绝非授权用户访18

三、网上支付安全相关技术一访问控制技术与应用访问控制的三要素主体（Subject）：发出访问操作、存取要求的主动方，通常为进程、程序或用户。客体（Object）：被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。1.访问控制概述授权：授权是资源的所有者或者控制者准许其他主体访问这种资源，访问控制就是一种加强授权的方法三、网上支付安全相关技术一访问控制技术与应用访问19

三、网上支付安全相关技术一访问控制技术与应用访问控制的主要过程1.访问控制概述①规定需要保护的资源，即系统中被访问的对象（如文件、程序、存储器等），也就是确定客体。②规定可以访问该资源的主体（通常是一个人，但有时也可能是一个程序或进程）；确定客体规定主体规定可执行操作③规定可以对该资源执行的操作（如读、写、执行或不允许访问）；确定安全方案④通过确定每个实体可对哪些资源执行哪些动作来确定该安全方案。

三、网上支付安全相关技术一访问控制技术与应用访问20

三、网上支付安全相关技术一访问控制技术与应用访问控制系统的基本组成1.访问控制概述主体访问控制实施单元访问控制决策单元客体提交访问请求提出访问请求请求决策决策三、网上支付安全相关技术一访问控制技术与应用访问21

三、网上支付安全相关技术一访问控制技术与应用2.防火墙技术与应用（1）什么是防火墙？我们现在讲的防火墙（FireWall）是最典型的访问控制产品。是一个由软件和硬件组合而成的隔离设备，设置在不同网络（如可信任的企业内部网不可信任的公共网）或网络安全域之间的保护屏障。防火墙的最初含义：《辞海》上说“防火墙：用非燃烧材料砌筑的墙。设在建筑物的两端或在建筑物内将建筑物分割成区段，以防止火灾蔓延。”

三、网上支付安全相关技术一访问控制技术与应用2.22

三、网上支付安全相关技术2.防火墙技术与应用防火墙的应用示意图：Internet防火墙系统（堡垒主机+路由器等）企业内部网（如Intranet）……..非安全网络安全网络三、网上支付安全相关技术2.防火墙技术与应用防火23

三、网上支付安全相关技术防火墙的功能

一、双向监控功能由内部安全的Intranet到外部不安全的Internet的访问和由外到内的访问都必须通过防火墙的过滤二、设置安全控制机制设置用户认证等安全控制机制，只有本地安全策略所定义的合法访问才被允许通过。三、本身无法被穿透防火墙本身应无法被穿透四、明确Intranet边界

能够保护站点不被任意连接总结并记录有关正在进行的连接资源、服务器提供的通信量，及试图闯入者的企图。（2）防火墙的功能三、网上支付安全相关技术防火墙一、24

三、网上支付安全相关技术2.防火墙技术与应用（3）防火墙的组成：Internet不安全网络网关外部过滤器内部过滤器Intranet安全网络防火墙的基本组成框架三、网上支付安全相关技术2.防火墙技术与应用（325

三、网上支付安全相关技术2.防火墙技术与应用电子商务中防火墙与Web服务器的配置方式Internet不安全网络Web服务器Intranet安全网防火墙+路由器业务Web服务器放在防火墙之内的配置图三、网上支付安全相关技术2.防火墙技术与应用电子26

三、网上支付安全相关技术2.防火墙技术与应用电子商务中防火墙与Web服务器的配置方式Internet不安全网络Web服务器Intranet安全网防火墙+路由器业务Web服务器放在防火墙之外的配置图三、网上支付安全相关技术2.防火墙技术与应用电子27

三、网上支付安全相关技术2.防火墙技术与应用（3）防火墙的种类：目前按防火墙采用的技术分类，主要有包过滤型防火墙、代理服务器型防火墙（应用级防火墙）、状态检测型防火墙等。√a包过滤型防火墙Internet包过滤防火墙+路由器Intranet包过滤式防火墙应用原理示意图缺点：不能鉴别不同用户和防止IP地址盗用，即对应用层缺少保护，且数据包的源地址、目的地址和IP地址的端口号都在数据包头部，易被窃取和假冒优点：不需任何额外费用，对用户透明，应用简单，处理速度快，效率高，易于维护三、网上支付安全相关技术2.防火墙技术与应用（328

三、网上支付安全相关技术2.防火墙技术与应用√b代理服务器型防火墙（应用级防火墙）工作在应用层，通过对应用服务器提供代理程序来实现监视和控制应用层的通信流，亦称为应用级防火墙客户访问请求防火墙代理客户代理访问控制服务器代理服务器转发请求应答转发应答代理服务器型防火墙应用原理示意图缺点：性能差，速度慢，不允许用户直接访问网络，透明性差，成本高优点：比包过滤型防火墙更安全、可靠，能够详细记录所有访问状态信息三、网上支付安全相关技术2.防火墙技术与应用√b29

三、网上支付安全相关技术2.防火墙技术与应用√c状态监测型防火墙

使用一个在网关上执行网络安全策略的软件模块，称为监测引擎，是第三代防火墙技术。应用原理：在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态的保存起来，作为执行安全策略的参考。三、网上支付安全相关技术2.防火墙技术与应用√c30

三、网上支付安全相关技术2.防火墙技术与应用（4）防火墙的优缺点：优点：1、遏制来自Internet各种路线的攻击2、借助网络服务选择，保护网络中脆弱的易受攻击的服务3、监视整个网络的安全性，具有实时报警提醒功能4、作为部署NAT的逻辑地址5、增强内部网中资源的保密性，强化私有权。三、网上支付安全相关技术2.防火墙技术与应用（431

三、网上支付安全相关技术2.防火墙技术与应用（4）防火墙的优缺点：缺点：1、限制了一些有用的网络服务的使用，降低了网络性能2、只能限制内部用户对外的访问，无法防护来自内部网络的攻击3、不能完全防止传送感染病毒的软件或文件，特别是一些数据驱动型的攻击数据4、被动防守，不能防备新的网络安全问题三、网上支付安全相关技术2.防火墙技术与应用（432网上支付安全风险与安全需求网上支付面临的安全风险网上支付的安全风险网上支付的法律风险网上支付的信用风险网上支付安全风险与安全需求网上网上支付的安全风险网33网上支付的安全使用访问控制技术培训课件34（2）访问控制的三要素：主体、客体、授权一、访问控制技术（1）访问控制技术的概念（3）访问控制的主要过程：确定客体规定主体规定可执行操作确定安全方案被访问的资源是什么？谁被允许访问资源？主体可以对资源进行哪些操作？形成解决方案（2）访问控制的三要素：主体、客体、授权一、访问控制技术351、防火墙技术一、访问控制技术（1）防火墙的概念外网（不安全）

内网（安全）1、防火墙技术一、访问控制技术（1）防火墙的概念36网上支付的安全使用访问控制技术培训课件37Internet防火墙系统（堡垒主机+路由器等）企业内部网（如Intranet）……..非安全网络安全网络（2）防火墙的功能（四个）Internet防火墙系统（堡垒主机+路由器等）企业内部网38（3）防火墙的类型包过滤型防火墙代理服务器型防火墙状态监测型防火墙应用层表示层会话层传输层网络层链路层物理层（3）防火墙的类型包过滤型防火墙代理服务器型防火墙39三种防火墙的比较：包过滤型代理型状态监测型优点：速度快用户端不需要进行设置针对应用层数据进行过滤，增强了可控性日志功能加强了对不安因素的追踪与排查屏蔽了内网细节减少了大量开放端口降低了管理员配置访问规则的难度缺点：无法过滤审核数据包的内容无法详细记录细致的日志速度较慢新的网络协议和应用都需要一套代理程序成本高配置复杂三种防火墙的比较：包过滤型代理型状态监测型优点：速40电子商务中防火墙与Web服务器的配置方式Internet不安全网络Web服务器Intranet安全网防火墙+路由器业务Web服务器放在防火墙之内的配置图（4）防火墙技术在网上支付中的应用电子商务中防火墙与Web服务器的配置方式InternetWe41电子商务中防火墙与Web服务器的配置方式Internet不安全网络Web服务器Intranet安全网防火墙+路由器业务Web服务器放在防火墙之外的配置图（4）防火墙技术在网上支付中的应用电子商务中防火墙与Web服务器的配置方式InternetWe42一、填空1、是指设置在不同网络（如可信任的企业内部网络和不可信的公共网或安全域）之间的，用以实施网络间访问控制的一组组件的集合。2、常见的防火墙采用的技术分类有：

、

、

。二、判断：1、为控制企业内部对外的访问及抵御外部对内部网络的攻击，最好的选择是杀毒软件。2、防火墙在设计的时候要尽量使用较大组件，尽可能的提供保护全部网络的功能。3、防火墙能够完全防止传送已被病毒感染的软件和文件。三、问答：公司的WEB服务器受到来自某个IP地址的黑客反复攻击，你的主管要求你通过防火墙阻止来自那个地址的所有连接，以保护WEB服务器，那么你应该选择哪一种防火墙？一、填空43

三、网上支付安全相关技术3.基于角色的访问控制技术除了网络层访问控制要求，网络支付系统应用层一般还设计对用户的基于角色的访问控制技术。

一访问控制技术与应用角色权限三、网上支付安全相关技术3.基于角色的访问控制技44关注网络购物诈骗关注网络购物诈骗45网上支付的安全使用访问控制技术培训课件46网上支付的安全使用访问控制技术培训课件47

案列一：金蝉脱壳——发货在先陷阱多

拿货开溜：各位卖家在交易时，切不可着急出货。有的买家谎称自己不会使用支付宝，收到货后用银行汇款，只要货一发出，这买家就人间蒸发。一定要强烈支持支付宝，或款到货。

骗取半价：有的买家称信不过卖家，先付一半的货款，作为定金，货到后再付余款。卖家一定不要相信对方，因为只要你的货发出，那一半的货款是可能收不回来的。

谎称付款：卖家切记在发货前要查看交易状态买家是否付款。有些买家在旺旺上留言谎称已付款，有些粗心的卖家不看交易状态就轻易相信，造成损失。

真传假汇：有买家把银行的汇款单传真过来，卖家要在查清汇款是否到帐后再发货，因为有些传真来的汇款单是假的。

48案列二：瞒天过海——同城交易有猫腻提醒卖家：为了杜绝任何受骗的可能，同城交易时最好让对方写下收据，并防上假钞。案列二：瞒天过海——同城交易有猫腻49

案列三：移花接木——退货之后藏隐患

如果买家要求退货，一定要在收到货后再退款。如先退款，可以再也见不到你的货了。一定要严格按流程走，收到退货后再退款或换货，为了防止买家在货物上做手脚（听说有的邮回来报纸，砖头等），一定要当着快递面拆开，再签字。案列三：移花接木——退货之后藏隐患

如果买50案列四：借刀杀人——木马钓鱼搞破坏结论：数字证书、防杀毒软件一个也不能少！

案列四：借刀杀人——木马钓鱼搞破坏51案列五：暗渡陈仓——破解密码占已有

卖家一定要设置并管理好自己的密码，登录号、支付工具号、注册邮箱密码等。切不可图省事全用一个密码，让骗子有机可钻。发现异常情况要及时与客服联系。案列五：暗渡陈仓——破解密码占已有52案列六：使用photoShop制作的付款截图

此骗术是对方拍下您的商品，马上发来一个“买家已付款等待卖家发货”的photoShop制作的付款截图然后不段的催促你发货，如果您看到这个截图没在去管理中心或查看邮件通知就发货给买家，那么很有可能就上当了。所以无论对方如何催促，一定要在自己在“我的淘宝”看到“买家已付款等待卖家发货”才能发货！案列六：使用photoShop制作的付款截图53案列七：李代桃僵－－退款吃小亏占大便宜结论：所有的讨价还价要在付钱之前就搞定，然后叫卖家改好数目你再付款，当然，不可以“即时到帐”。案列七：李代桃僵－－退款吃小亏占大便宜54案列八：明修栈道－－可恨之极

新卖家，急于成交生意的，经常做虚拟商品销售的（因为发货就是发卡号或者密码之类的）容易被骗。案列八：明修栈道－－可恨之极55

案列九：抛砖引玉--借古讽今瞒天过海式

对策：卖家发货之前一定要核对付款人的地址，发现不符要及时联系买家

案列九：抛砖引玉--借古讽今瞒天过海式56案例十：栽脏嫁祸－－三角骗术新变种

买家应吸取的教训：卖家以超低价促销商品很可能是一场骗局；交易时应仔细查看拍下的商品与需要购买的商品是否一致，联系卖家时应以旺旺号码为唯一辨别身份标志。

卖家应吸取的教训：对出售的商品应进行尽可能准确详细的描述，必要情况下对买友进行防骗上的警示！案例十：栽脏嫁祸－－三角骗术新变种买家应吸取的教训57演讲完毕，谢谢观看！演讲完毕，谢谢观看！58

项目二网上支付的安全使用项目二网上支付的安全使用59讨论：使用网上支付时你最担心哪些问题呢？请给丁汇100元乙甲请给丁汇100元请给丙汇100元丙请给丙汇100元讨论：请给丁汇100元乙甲请给丁汇100元请给丙汇100元丙60主要内容网上支付安全风险与安全需求网上支付安全协议三、网上支付安全技术二、网上支付的安全风险控制措施一、四、主要内容网上支付安全风险与安全需求61一、网上支付安全风险与安全需求1、网上支付的安全风险密码管理问题黑客攻击大部分公司或个人密码设置过于简单，甚至在所有网站上使用的都是同一个密码。建议密码不要设置为姓名、生日、电话号码等简单密码结合大小写字母、数字符号等共同组成密码，且位数尽量大于9一、网上支付安全风险与安全需求1、网上支付的安全风险密码管理62一、网上支付安全风险与安全需求1、网上支付的安全风险密码管理问题黑客攻击钓鱼网站

建立假网站诱骗客户输入账号密码发送钓鱼邮件，引诱客户访问键盘记录

通过木马植入监视用户操作，进而窃取密码嵌入浏览器执行

屏幕“录像”

窃取数字证书

伪装窗口

动态改变用户浏览页面内容，使用户登录到没有安全控件保护的页面

记录用户鼠标和键盘操作记录

通过木马记录客户保存证书流程，复制证书文件，非法使用

通过木马记录客户保存证书流程，复制证书文件，非法使用一、网上支付安全风险与安全需求1、网上支付的安全风险密码管理6310万余基金半夜被转移

"您的网上银行账户**基金已转账……"24日凌晨两点多，马先生和妻子被不断发来的这类短信吵醒。半夜了电脑已关，自家人没操作电脑，密码只有自己知道，咋会有网上银行的基金被转账的怪事?夫妻俩睡意全无，赶紧上网查看，果然发现多笔基金被分次转到他人账户。张先生的开户行在小寨十字，24日早上，马先生急忙到开户行所在地小寨路派出所报案，被告知要到居住地所在派出所报案。马先生又来到东关南街派出所，被告知还得到开户行所在地报案。张先生担心被转账的账户将钱取走，就先到银行处理此事。记者赶到银行后，工作人员将张先生的网银交易记录打出来，确实发现：23日，有5000元现金在"上海环讯电子商务"消费，另有基金被转出的记录。10万余基金半夜被转移64点击陌生网址泄露网银信息

随后，该银行办公室、个人金融部的两名工作人员来到小寨十字营业点了解情况。24日下午，银行进一步调查发现：马先生的妻子刘女士在23日下午上网聊天时，有一个陌生QQ号发给她一个网址，她点击进入，看到是一个开户行所在银行的网站，上面宣称可销售电话卡，只要汇入指定账户一元，再输入个人的网上银行账号、密码，验证身份后，就能做电话卡的销售代理。刘女士按照提示一步步操作，没想到就这样泄露了个人的网银信息。直到此时，马先生和妻子才得知自己因链接陌生网址泄露网银信息，二人追悔莫及。点击陌生网址泄露网银信息65一、网上支付安全风险与安全需求2、网上支付的信用风险由于网络虚拟性，支付双方难以客观判断对方信用等级，容易产生信用怀疑，阻碍网上支付进行。西方国家信用制度已经很健全，我国仍处于起步阶段，信用环境仍需加强一、网上支付安全风险与安全需求2、网上支付的信用风险由于网络66一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力问题法律责任分担问题黑客的法律约束对客户和银行，法律效力一般不会出现问题，但是对于电子支票和电子现金，因为其与传统法律有一定抵触，效力存在一定争议。一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力67一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力问题法律责任分担问题未经授权使用的银行卡支付所造成的损失由谁承担？消费者？商家？还是银行？黑客的法律约束一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力68一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力问题法律责任分担问题法律的约束力对黑客来讲抵不过巨大利益的诱惑，法律的惩罚力度和技术的进步都是比不可少的。黑客的法律约束一、网上支付安全风险与安全需求3、网上支付的法律风险法律效力69一、网上支付安全风险与安全需求网上支付的安全需求网络上资金数据流的保密性相关网络支付结算数据的完整性网络上资金结算双方身份的认定支付结算行为不可抵赖性支付系统运行稳定快捷一、网上支付安全风险与安全需求网上网络上资金数据流的保密70

二、网上支付安全风险控制措施√保障支付结算信息的机密性、完整性、不可否认性不可拒绝性和访问控制性√能够经常测试安全状态√能够对可能的风险作出基本评估√系统的的安全被破坏后能够尽快恢复工作√应用相应法律法规保护安全利益安全风险控制目标二、网上支付安全风险控制措施√保障支付结算信息的71

二、网上支付安全风险控制措施安全风险控制原则（1）预防为主原则。（2）根据网上支付结算的安全需要和目标来制定安全策略原则。（3）多人负责原则。（4）任期有限原则。（5）职责分离原则。二、网上支付安全风险控制措施安全风险控制原则72

二、网上支付安全风险控制措施安全风险控制措施加快认证中心建设，统一数字证书加强网上支付安全信用体系建设完善相应的法律法规明确监管制定，加强金融监管客户加强自我安全保护1、核对网址，保管好密码和数字证书。2、对异常动态提高警惕3、使用安全正版的防毒软件和防火墙，并及时更新。4、限制无关人员靠近个人计算机，使用完网银后及时推出并清理上网痕迹。5、核实交易方身份，保留交易记录二、网上支付安全风险控制措施安全风险控制措施加快73

三、网上支付安全相关技术主要知识点了解并掌握访问控制技术的原理与应用了解并掌握数据机密技术的原理与应用了解并掌握数据抵赖技术的原理与应用了解并掌握身份认证技术的原理与应用熟练使用网上支付系统安全技术工具一二三四五三、网上支付安全相关技术主要知识点了解了解了74

三、网上支付安全相关技术一访问控制技术与应用1.访问控制概述网络支付平台系统的构成客户机银行专网Intranet电子商务服务器Internet支付网关三、网上支付安全相关技术一访问控制技术与应用1.75访问控制是在保障授权用户获取所需资源的同时，拒绝非授权用户访问的机制。是在身份认证的基础上，根据身份的合法性对提出的资源访问请求加以控制在用户身份已得到认证的前提下，限制主体对访问客体的访问权限，访问控制目的是“你能做什么，你有什么样的权限”。身份认证——防止非法用户进入系统；访问控制——防止合法用户对系统资源的非法使用

三、网上支付安全相关技术一访问控制技术与应用1.访问控制概述访问控制是在保障授权用户获取所需资源的同时，拒绝非授权用户访76

三、网上支付安全相关技术一访问控制技术与应用访问控制的三要素主体（Subject）：发出访问操作、存取要求的主动方，通常为进程、程序或用户。客体（Object）：被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。1.访问控制概述授权：授权是资源的所有者或者控制者准许其他主体访问这种资源，访问控制就是一种加强授权的方法三、网上支付安全相关技术一访问控制技术与应用访问77

三、网上支付安全相关技术一访问控制技术与应用访问控制的主要过程1.访问控制概述①规定需要保护的资源，即系统中被访问的对象（如文件、程序、存储器等），也就是确定客体。②规定可以访问该资源的主体（通常是一个人，但有时也可能是一个程序或进程）；确定客体规定主体规定可执行操作③规定可以对该资源执行的操作（如读、写、执行或不允许访问）；确定安全方案④通过确定每个实体可对哪些资源执行哪些动作来确定该安全方案。

三、网上支付安全相关技术一访问控制技术与应用访问78

三、网上支付安全相关技术一访问控制技术与应用访问控制系统的基本组成1.访问控制概述主体访问控制实施单元访问控制决策单元客体提交访问请求提出访问请求请求决策决策三、网上支付安全相关技术一访问控制技术与应用访问79

三、网上支付安全相关技术一访问控制技术与应用2.防火墙技术与应用（1）什么是防火墙？我们现在讲的防火墙（FireWall）是最典型的访问控制产品。是一个由软件和硬件组合而成的隔离设备，设置在不同网络（如可信任的企业内部网不可信任的公共网）或网络安全域之间的保护屏障。防火墙的最初含义：《辞海》上说“防火墙：用非燃烧材料砌筑的墙。设在建筑物的两端或在建筑物内将建筑物分割成区段，以防止火灾蔓延。”

三、网上支付安全相关技术一访问控制技术与应用2.80

三、网上支付安全相关技术2.防火墙技术与应用防火墙的应用示意图：Internet防火墙系统（堡垒主机+路由器等）企业内部网（如Intranet）……..非安全网络安全网络三、网上支付安全相关技术2.防火墙技术与应用防火81

三、网上支付安全相关技术防火墙的功能

一、双向监控功能由内部安全的Intranet到外部不安全的Internet的访问和由外到内的访问都必须通过防火墙的过滤二、设置安全控制机制设置用户认证等安全控制机制，只有本地安全策略所定义的合法访问才被允许通过。三、本身无法被穿透防火墙本身应无法被穿透四、明确Intranet边界

能够保护站点不被任意连接总结并记录有关正在进行的连接资源、服务器提供的通信量，及试图闯入者的企图。（2）防火墙的功能三、网上支付安全相关技术防火墙一、82

三、网上支付安全相关技术2.防火墙技术与应用（3）防火墙的组成：Internet不安全网络网关外部过滤器内部过滤器Intranet安全网络防火墙的基本组成框架三、网上支付安全相关技术2.防火墙技术与应用（383

三、网上支付安全相关技术2.防火墙技术与应用电子商务中防火墙与Web服务器的配置方式Internet不安全网络Web服务器Intranet安全网防火墙+路由器业务Web服务器放在防火墙之内的配置图三、网上支付安全相关技术2.防火墙技术与应用电子84

三、网上支付安全相关技术2.防火墙技术与应用电子商务中防火墙与Web服务器的配置方式Internet不安全网络Web服务器Intranet安全网防火墙+路由器业务Web服务器放在防火墙之外的配置图三、网上支付安全相关技术2.防火墙技术与应用电子85

三、网上支付安全相关技术2.防火墙技术与应用（3）防火墙的种类：目前按防火墙采用的技术分类，主要有包过滤型防火墙、代理服务器型防火墙（应用级防火墙）、状态检测型防火墙等。√a包过滤型防火墙Internet包过滤防火墙+路由器Intranet包过滤式防火墙应用原理示意图缺点：不能鉴别不同用户和防止IP地址盗用，即对应用层缺少保护，且数据包的源地址、目的地址和IP地址的端口号都在数据包头部，易被窃取和假冒优点：不需任何额外费用，对用户透明，应用简单，处理速度快，效率高，易于维护三、网上支付安全相关技术2.防火墙技术与应用（386

三、网上支付安全相关技术2.防火墙技术与应用√b代理服务器型防火墙（应用级防火墙）工作在应用层，通过对应用服务器提供代理程序来实现监视和控制应用层的通信流，亦称为应用级防火墙客户访问请求防火墙代理客户代理访问控制服务器代理服务器转发请求应答转发应答代理服务器型防火墙应用原理示意图缺点：性能差，速度慢，不允许用户直接访问网络，透明性差，成本高优点：比包过滤型防火墙更安全、可靠，能够详细记录所有访问状态信息三、网上支付安全相关技术2.防火墙技术与应用√b87

三、网上支付安全相关技术2.防火墙技术与应用√c状态监测型防火墙

使用一个在网关上执行网络安全策略的软件模块，称为监测引擎，是第三代防火墙技术。应用原理：在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态的保存起来，作为执行安全策略的参考。三、网上支付安全相关技术2.防火墙技术与应用√c88

三、网上支付安全相关技术2.防火墙技术与应用（4）防火墙的优缺点：优点：1、遏制来自Internet各种路线的攻击2、借助网络服务选择，保护网络中脆弱的易受攻击的服务3、监视整个网络的安全性，具有实时报警提醒功能4、作为部署NAT的逻辑地址5、增强内部网中资源的保密性，强化私有权。三、网上支付安全相关技术2.防火墙技术与应用（489

三、网上支付安全相关技术2.防火墙技术与应用（4）防火墙的优缺点：缺点：1、限制了一些有用的网络服务的使用，降低了网络性能2、只能限制内部用户对外的访问，无法防护来自内部网络的攻击3、不能完全防止传送感染病毒的软件或文件，特别是一些数据驱动型的攻击数据4、被动防守，不能防备新的网络安全问题三、网上支付安全相关技术2.防火墙技术与应用（490网上支付安全风险与安全需求网上支付面临的安全风险网上支付的安全风险网上支付的法律风险网上支付的信用风险网上支付安全风险与安全需求网上网上支付的安全风险网91网上支付的安全使用访问控制技术培训课件92（2）访问控制的三要素：主体、客体、授权一、访问控制技术（1）访问控制技术的概念（3）访问控制的主要过程：确定客体规定主体规定可执行操作确定安全方案被访问的资源是什么？谁被允许访问资源？主体可以对资源进行哪些操作？形成解决方案（2）访问控制的三要素：主体、客体、授权一、访问控制技术931、防火墙技术一、访问控制技术（1）防火墙的概念外网（不安全）

内网（安全）1、防火墙技术一、访问控制技术（1）防火墙的概念94网上支付的安全使用访问控制技术培训课件95Internet防火墙系统（堡垒主机+路由器等）企业内部网（如Intranet）……..非安全网络安全网络（2）防火墙的功能（四个）Internet防火墙系统（堡垒主机+路由器等）企业内部网96（3）防火墙的类型包过滤型防火墙代理服务器型防火墙状态监测型防火墙应用层表示层会话层传输层网络层链路层物理层（3）防火墙的类型包过滤型防火墙代理服务器型防火墙97三种防火墙的比较：包过滤型代理型状态监测型优点：速度快用户端不需要进行设置针对应用层数据进行过滤，增强了可控性日志功能加强了对不安因素的追踪与排查屏蔽了内网细节减少了大量开放端口降低了管理员配置访问规则的难度缺点：无法过滤审核数据包的内容无法详细记录细致的日志速度较慢新的网络协议和应用都需要一套代理程序成本高配置复杂三种防火墙的比较：包过滤型代理型状态监测型优点：速98电子商务中防火墙与Web服务器的配置方式Internet不安全网络Web服务器Intranet安全网防火墙+路由器业务Web服务器放在防火墙之内的配置图（4）防火墙技术在网上支付中的应用电子商务中防火墙与Web服务器的配置方式InternetWe99电子商务中防火墙与Web服务器的配置方式Internet不安全网络Web服务器Intranet安全网防火墙+路由器业务Web服务器放在防火墙之外的配置图（4）防火墙技术在网上支付中的应用电子商务中防火墙与Web服务器的配置方式InternetWe100一、填空1、是指设置在不同网络（如可信任的企业内部网络和不可信的公共网或安全域）之间的，用以实施网络间访问控制的一组组件的集合。2、常见的防火墙采用的技术分类有：

、